Wat is Microsoft quarantine?

Blog

Of u toegang heeft tot Microsoft-quarantineberichten hangt af van het toegepaste quarantinebeleid.

door Ahona Rudra

Leestijd: 5 min
Wat is Microsoft quarantine?
Inhoudsopgave-

Het is vrij ingewikkeld om e-mailaanvallen te beveiligen, maar de cyberbeveiligingsindustrie en e-maildienstverleners hebben voortdurend inspanningen geleverd om de situatie te verbeteren. De quarantine van Microsoft is erger dan de markering als spam, omdat de beoogde ontvanger geen idee heeft dat uw e-mail hem heeft proberen te bereiken. 

Wanneer u een e-mail verstuurt, wilt u dat deze wordt afgeleverd bij de beoogde ontvanger, die deze opent en desgewenst antwoordt. Dit alles gebeurt echter niet als uw e-mail in quarantine wordt geplaatst. 

Het quarantinebeleid van Microsoft werd ingevoerd om de verspreiding van malware tegen te gaan. Het beleid bepaalt wat gebruikers al dan niet mogen doen met berichten in quarantine, afhankelijk van de reden waarom de e-mail in eerste instantie in quarantine werd geplaatst. Admins kunnen beperkingen voor gebruikers aanpassen en ook meldingen activeren. 

Hoe krijg ik toegang tot Microsoft quarantine?

Of u toegang heeft tot Microsoft-quarantineberichten hangt af van het toegepaste quarantinebeleid. Hier ziet u hoe u toegang krijgt.

  1. Ga naar de Microsoft 365 Defender-portal op https://security.microsoft.com/ en selecteer E-mail en samenwerking > Overzicht > quarantine. U kunt ook rechtstreeks naar de quarantinepagina gaan door te klikken op https://security.microsoft.com/quarantine.
  2. Vervolgens moet u de resultaten oplossen door op een beschikbare kolomkop te klikken. U kunt op kolommen aanpassen klikken om de volgende kolommen te wijzigen.
  • Tijd ontvangen
  • Onderwerp
  • Afzender
  • Reden voor quarantine
  • Vrijgavestatus
  • Beleidstype
  • Verloopt op
  • Ontvanger
  • Bericht ID
  • Beleidsnaam
  • Grootte van het bericht
  • Post Richting

Klik op Toepassen als het klaar is.

Betekent quarantine Verwijderd?

Nee, quarantine betekent niet verwijderd. Het betekent dat het bericht spam-achtig of mogelijk kwaadaardig is; daarom wordt de verdachte e-mail opgeslagen in een beveiligde omgeving waar u hem zonder risico kunt openen. 

De quarantinemelding van Microsoft verschijnt na drie dagen. Na 30 dagen (of minder als u de instellingen hebt gewijzigd) wordt het definitief uit de mailbox verwijderd.

Waardoor wordt een e-mail in quarantine geplaatst? 

Om te voorkomen dat gebruikers hun eigen in quarantine geplaatste phishing e-mails behandelen, kunnen beheerders een quarantinebeleid toewijzen. Het beleid kan de toegang tot alle berichten in quarantine weigeren. Microsoft plaatst berichten meestal in quarantine om de volgende redenen:

Reden voor quarantine Standaard bewaartermijn Aanpasbaar of niet? Opmerkingen
Berichten in quarantine geplaatst door het anti-spambeleid; spam, spam met hoog vertrouwen, phishing, phishing met hoog vertrouwen of bulk. 15 dagen volgens het standaard antispambeleid van Microsoft voor quarantine. Dit staat in het antispambeleid dat u in PowerShell hebt aangemaakt.

Het kan ook gedurende 30 dagen terugkomen in anti-spambeleid dat u in het Microsoft Defender-portaal hebt aangemaakt.

 Ja U kunt de waarde ervan verlagen in het anti-spambeleid.
Berichten in quarantine geplaatst door anti-phishing beleid: spoof intelligence in EOP; user impersonation, domain impersonation, of mailbox intelligence in Defender for Office 365. 30 dagen Ja Deze bewaartermijn staat onder controle van de instelling quarantine bewaartermijn in het anti-spambeleid.

Hier is de waarde voor de bewaarperiode dezelfde als het eerste overeenkomende anti-spambeleid waarin de ontvanger is gedefinieerd.
Berichten in quarantine geplaatst door anti-malware beleid (malware berichten). 30 dagen Geen Wanneer u in het anti-malwarebeleid het filteren van gewone bijlagen activeert, worden de bijlagen in de e-mail als hatelijk beschouwd. Dit is alleen gebaseerd op de bestandsextensie. Er is een voorgedefinieerde lijst van veelvoorkomende bestandstypen, maar u mag er wijzigingen in aanbrengen.
Berichten in quarantine geplaatst door beleid voor veilige bijlagen in Defender voor Office 365 (malwareberichten) 30 dagen Geen
Berichten in quarantine geplaatst door mail flow regels: Lever het bericht af in de gehoste quarantine (quarantine). 30 dagen Geen
Bestanden in quarantaine geplaatst door Safe Attachments voor SharePoint, OneDrive en Microsoft Teams (malwarebestanden). 30 dagen Geen Hierbij worden de bestanden na 30 dagen uit SharePoint of OneDrive verwijderd. De geblokkeerde bestanden blijven echter in SharePoint of OneDrive in de geblokkeerde status.

Hoe moet ik Microsoft quarantine Bestanden behandelen?

Selecteer Microsoft in quarantine geplaatste bestanden uit de lijst en neem een van de volgende mogelijke acties die beschikbaar zijn in het vervolgmenu Details. 

1. E-mail vrijgeven

Begin met het resetten van de volgende opties.

  • Afzender toevoegen aan de toestemmingslijst van uw organisatie: Deze optie voorkomt dat e-mails door Microsoft in quarantine worden geplaatst.
  • Selecteer een van de opties: 
  1. Vrijgave aan alle ontvangers
  2. Vrijgeven aan specifieke ontvangers: Selecteer de ontvangers die u wilt toevoegen in het vak Ontvanger.
  • Een kopie van de e-mail delen met andere ontvangers: Kies deze optie en voeg de ontvangers toe.
  • Dien het bericht in bij Microsoft om de detectie te verbeteren (vals positief): Dit is een standaardoptie die berichten meldt die per ongeluk in quarantine zijn geplaatst. Deze berichten worden gemarkeerd als fout-positieven. E-mails die worden beschouwd als spam, bulk, phishing of die malware bevatten, worden ook gemeld aan het Microsoft Spam Analysis Team. 
  • Berichten zoals deze toestaan: Deze optie is standaard gedeactiveerd, maar u kunt hem activeren om berichten met vergelijkbare URL's, bijlagen en andere kenmerken tijdelijk niet meer ten onrechte in Microsoft-quarantine te plaatsen. U zult twee opties tegenkomen:
  1. Verwijderen na: Selecteer gedurende hoeveel dagen u dergelijke berichten wilt toestaan. De standaardwaarde is ingesteld op 30 dagen.
  2. Optioneel: Voeg een relevante beschrijving toe voor de toelage.

Klik op het bericht Vrijgeven zodra u klaar bent met configureren.

2. Deel e-mail

Voer in het vervolgmenu een of meer ontvangers in. Dit zijn de ontvangers die een kopie van het bericht zullen ontvangen. Klik op Delen zodra u klaar bent met het toevoegen van hun e-mailadressen.

3. Meer acties

  • Berichtkoppen bekijken: Klik hierop als u de koptekst van de e-mail wilt zien. Er zullen de volgende opties onder staan.
    1. Kopieer Berichtkop
    2. Microsoft Message Header Analyzer: Om de headervelden en -waarden te analyseren, klikt u op de link, plakt u de berichtkop en klikt u op Analyze headers.
  • Berichten bekijken: Kies een van de volgende tabbladen:
    1. Bron: U ziet de HTML-versie met alle links uitgeschakeld.
    2. Gewone tekst: U ziet het bericht in platte tekst.
  • Verwijderen uit quarantine: Als u op Ja klikt, wordt het bericht permanent verwijderd zonder dat het naar de oorspronkelijke ontvanger wordt gestuurd.
  • Download e-mail: Configureer het volgende eronder:
    1. Reden voor het downloaden van het bestand
    2. Wachtwoord aanmaken
  • Afzender blokkeren: Voeg de afzender toe aan de lijst Geblokkeerde afzenders in uw mailbox.
  • Alleen verzenden: Rapporteert het bericht aan Microsoft voor analyse. U ziet er enkele opties onder.

DMARC quarantine Vs Afwijzing - Uitgelegd 

Als uw DMARC-beleid al lange tijd is ingesteld op p=none, is het tijd om deze te wijzigen in p=reject of p=quarantine. Deze strengere beleidsregels voorkomen de kwaadaardige pogingen tot phishing en oplichting die zijn gepland door bedreigingsactoren. Maar voordat je een van de DMARC-beleidsregels implementeert, moet je hun verschillen begrijpen.

DMARC quarantine

Wanneer u de DMARC quarantaine laat je de ontvangende server weten hoe je wilt dat ze de niet-geverifieerde e-mails behandelen die vanaf jouw domein worden verzonden. Je kunt ervoor kiezen om ze in quarantaine te plaatsen, af te leveren bij spam of agressief te filteren op spam.

Het is raadzaam dit als testoptie te gebruiken, omdat uw bedrijf dan kan beginnen zijn DMARC sterkte langzaam en minder agressief. Dus totdat u er zeker van bent dat er geen juiste e-mails ten onrechte in quarantine worden geplaatst, stelt u uw DMARC-beleid in op p=quarantine.

DMARC afwijzingsbeleid

Met het p=reject beleid kunt u alle kwaadaardige activiteiten volledig voorkomen. Bovendien worden de beoogde ontvangers helemaal niet op de hoogte gebracht van de mail, en is er geen kans dat ze bedrogen worden als de mail niet in hun mailbox is beland.

Maar het heeft een nadeel, want sommige legitieme e-mails kunnen ook ten onrechte worden geweigerd. Als u de DMARC-rapporten niet regelmatig controleert, kan het maanden duren voordat u merkt dat legitieme e-mails niet worden afgeleverd. Dit kan de productiviteit, de communicatie met klanten, prospects en partners, de groei van de verkoop, de marketinginspanningen, enz. belemmeren.

Nieuwste berichten van Ahona Rudra (zie alle)
Wat is een cyberbeveiligingsaudit en waarom hebt u die nodig?Wat is een cyberbeveiligingsaudit?Wat is GPS Spoofing Een complete gidsWat is GPS Spoofing - Een complete gids